В рамках конференции по информационной безопасности Black Hat 2013, исследователь Пол Стоун (Paul Stone) продемонстрировал разработанную им новую технику нападения, позволяющую похитить данные браузера и получить доступ ко всей хранящейся в нем информации, в том числе перехватить данные с сайтов, с которыми в данный момент работает пользователь.
Стоун наглядно продемонстрировал участникам конференции, как комбинируя JavaScript- и тайминг-атаки (эксперт создал специальную программу, анализирующую процесс прорисовки кадров в браузере), можно похитить банковские данные пользователя, узнать список ранее посещаемых ресурсов и т.п.
«Если обозреватель прорисовывает ссылки впервые, то первый кадр всегда загружается с задержкой. Если пользователи ранее не переходили по ссылкам, то второй кадр будет загружаться значительно быстрее, а если переходили – на втором и последующих кадрах также произойдет замедление рендеринга», — пояснил Стоун.
По данным эксперта, опасность разработанного им метода атаки заключается в том, что она основывается на повсеместно используемых алгоритмах работы браузера, и, следовательно, нет возможности просто выпустить исправление безопасности. Вместо этого необходимо переработать принципы работы web-обозревателей.
«Там нечего исправлять. Нет чего-то конкретного, что можно было бы исправить в индивидуальном порядке, чтобы предотвратить такое нападение», — заключил эксперт.
Новости интересные и малоизвестные из IT индустрии
Больше статей
Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах
Специалисты из Akamai выявили существование нового ботнета Dark Frost
Cisco предупреждает: ПК-пользователи без защиты от хакеров с ChatGP